Raporların öne sürdüğü gibi, UPS nakliye ve lojistik, yakın zamanda iç denetimlerinde yetkisiz bir erişim sorunu bulduktan sonra bir güvenlik olayıyla karşı karşıya kaldı. Herhangi bir paketle ilgili ayrıntıları izlemek için UPS tarafından kullanılan bir paket arama aracı vardı.
Bu araç, belirli bir paket hakkında daha fazla bilgi elde etmek için kötüye kullanılabilir ve alıcı ayrıntıları çıkarılabilir, bu da hassas bilgilerin üçüncü şahıslar tarafından potansiyel olarak sızmasına yol açar.
Saldırganlar, çevrimiçi gönderi izleme aracından telefon numaralarını ve diğer bilgileri toplamak için SMS yoluyla bir Kimlik Avı saldırısı olan Smishing adlı tekniği kullanır.
Mektupla gönderilen İhlal Bildirimi
Twitter kullanıcılarından biri (@BrettCallow) UPS şirket hizmetlerini kullanarak normal bir eğitim mektubu gibi görünen bir mektup aldı. Ancak bunun bir veri ihlali bildirimi olduğu ortaya çıktı.
Mektupta, 1 Şubat 2022 ile 24 Nisan 2023 tarihleri arasında UPS sistemlerine, sistemlerinden hassas bilgilerin sızdırılmış olabileceği yetkisiz erişim olduğu belirtildi. İhlal edilen veriler şunları içerir:
- Alıcı Adları
- Gönderi adresi
- Telefon numaraları
- Sipariş numaraları
Mektup ayrıca kullanıcılarına Phishing ve Smishing saldırılarına karşı dikkatli olmaları konusunda bilgi verdi. Mektupta şunlar yazıyordu: “UPS, bazı paket alıcılarının, bir paket teslim edilmeden önce ödeme talep eden sahte metin mesajları aldıklarından haberdardır.
UPS, bu dolandırıcılığın nasıl yapıldığını anlamak için teslimat zincirindeki ortaklarla birlikte çalışmaktadır.”
UPS ayrıca, paket arama aracının kötüye kullanımının tam saatini ve tarihini teyit edemediklerini de belirtti. Ayrıca bunun küçük bir nakliyeci grubunu ve onların müşterilerini etkilemiş olabileceğini söylediler. Bu olayla ilgili soruşturma devam ediyor ve ihlal verileri henüz doğrulanmadı.
Mektupta, “Bu inceleme sırasında UPS, belirli bir paketi arayan veya bir paket arama aracını kötüye kullanan bir kişinin, teslimat hakkında potansiyel olarak bir alıcının telefon numarası da dahil olmak üzere daha fazla bilgi edinebileceği bir yöntem keşfetti” yazıyor. “Potansiyel olarak bir ezme planında dahil olmak üzere bu bilgiler üçüncü şahıslar tarafından kötüye kullanılabileceğinden, UPS bu bilgilere erişimi sınırlamak için adımlar attı.”
UPS (United Parcel Service), merkezi Georgia, Amerika Birleşik Devletleri’nde bulunan önemli bir nakliye, lojistik ve tedarik zinciri şirketidir. Şirket, dünya çapında 536.000’den fazla çalışanıyla 2022’de 100,3 milyar dolar gelir elde etti.
UPS Kanada müşterilerine yapılan bildirim, Kuzey Amerika’daki diğer müşterilerin etkilenip etkilenmediği konusunda herhangi bir bilgi vermemektedir ve Kanada dışındaki UPS müşterilerinin hedeflenip hedeflenmediği bilinmemektedir.